KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICElidak/IPI/2020-04-29... · 2020. 5. 4. · POLČÁK,Radim. a kol. Právoinformačníchtechnologií. 1. vyd. Praha: Wolters Kluwer, 2018

KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICEa právní aspekty jejího zajišťování

POLČÁK, Radim. a kol. Právo informačních technologií. 1. vyd. Praha: Wolters Kluwer, 2018. 656 s.

ISBN 978-80-7598-045-8. Kapitola 11 Kyberkriminalita a 12 Kybernetická bezpečnost

POLČÁK, Radim. HARAŠTA, Jakub. STUPKA, Václav. Právní problémy kybernetické bezpečnosti.

1. vyd. Brno: Masarykova univerzita, Právnická fakulta, 2016. 215 s. ISBN 978‐80-210‐8426‐1.

Dostupné zde:

https://science.law.muni.cz/knihy/monografie/Polcak_Kyberneticka_bezpecnost.pdf

KOLOUCH, Jan. BAŠTA, Pavel. a kol. Cybersecurity. 1. vyd. Praha: CZ.NIC, z. s. p. o., 2019. 562 s.

ISBN 978-80-88168-34-8.

Dostupné zde: https ://knihy.nic.cz/files/edice/cybersecurity.pdf

Národní úřad pro kybernetickou a informační bezpečnost, podpůrné materiály.

Dostupné zde: https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/

STUDIUM PRÁVA KYBERNETICKÉ BEZPEČNOSTI

Web:

Sli.do

Event code:

CyberJeCool

TLP: WHITE 22020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda

https://science.law.muni.cz/knihy/monografie/Polcak_Kyberneticka_bezpecnost.pdfhttps://science.law.muni.cz/knihy/monografie/Polcak_Kyberneticka_bezpecnost.pdfhttps://knihy.nic.cz/files/edice/cybersecurity.pdfhttps://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/

1. Kybernetická bezpečnost – proč je důležitá a jak je řešena

2. Právní rámec kybernetické bezpečnosti v ČR

3. Kybernetická bezpečnost infrastruktury v ČR

4. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)

OSNOVA

Web:

Sli.do

Event code:

CyberJeCool


KYBERNETICKÁ BEZPEČNOST

4

Proč je důležitá a jak je řešena


Rostoucí závislost na kyberprostoru a ICT

Vláda, armáda, policie, finanční instituce, energetika, průmysl, doprava, zdravotnictví

Vedení registrů, zpracovávání obrovského množství osobních údajů

Nové technologie = nová rizika

IoT, Smart Grid,

Smart Cities, E-Health,

sítě 5G, AI

Rostoucí trend

kyberkriminalityWeb:

Sli.do

Event code:

CyberJeCool


KYBERNETICKÁ BEZPEČNOST JAKO TREND?

Kybernetické útoky s globálním dopadem – Stuxnet 2009, Red October 2007, …

Kybernetické útoky destruktivní – Shamoon 2012, Aurora 2007, Farewell 1982, …

Politicky motivované aktivity – destrukce, sabotáž (Ukrajina 2013, Gruzie 2008, Estonsko 2007, …)

Kybernetická špionáž

Státní (OPM 2015, Kukaččí vejce 1986, …)

Korporátní (intelektuální vlastnictví, F-35 JSF, …)

Hacktivismus (Anonymous)

Kriminální kybernetická aktivita

Krádeže osobních a finančních dat

Zdravotnická dokumentace (vydírání)

Ransomware (zašifrování dat) – Ryuk (+Emotet, Trickbot) 2019, Wanna Cry 2018, Petya 2017, …

KYBERNETICKÉ ÚTOKY

Web:

Sli.do

Event code:

CyberJeCool


Kyberprostor dnes propojuje všechny ostatní oblasti boje a vojenské technologie, zajišťuje jejich

funkčnost, a zároveň jsou na něm i kriticky závislé.

Summit NATO ve Walesu 2014 – kybernetické útoky mohou aktivovat článek 5

Summit NATO ve Varšavě 2016 – kyberprostor novou operační doménou (článek 3)

„… Now, in Warsaw, we reaffirm NATO's defensive mandate, and recognise cyberspace as a

domain of operations in which NATO must defend itself as effectively as it does in the air, on land,

and at sea. This will improve NATO's ability to protect and conduct operations across these

domains and maintain our freedom of action and decision, in all circumstances. It will support

NATO's broader deterrence and defence: cyber defence will continue to be integrated into

operational planning and Alliance operations and missions, and we will work together to contribute

to their success…“

Warsaw Summit Communiqué issued by the Heads of State and Government participating in the

meeting of the North Atlantic Council in Warsaw 8-9 July 2016

KYBERNETICKÝ PROSTOR JAKO BOJIŠTĚ

Web:

Sli.do

Event code:

CyberJeCool


KYBERNETICKÝ PROSTOR JAKO BOJIŠTĚ

Web:

Sli.do

Event code:

CyberJeCool


geograficky stanovené (víceméně jasné) hranice

nejasné hranice

ZASAZENÍ PŘÍBĚHU

Web:

Sli.do

Event code:

CyberJeCool


Zdroj: https://securelist.com/darkvishnya/89169/

Zdroj: https://thehackernews.com/2017/08/car-safety-hacking.html

Zdroj: https://www.voanews.com/usa/cyber-firm-rewrites-part-disputed-russian-hacking-report


10TLP: WHITE 102020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda

Právní rámec v České republice

Web:

Sli.do

Event code:

CyberJeCool


Web:

Sli.do

Event code:

CyberJeCool


Zpravodajské aktivity v kyberprostoru

Kybernetická bezpečnost (určování, cvičení, odolnost, kontroly, incident handling)

Kybernetická kriminalita

Kybernetická obrana

čas

Kybernetický bezpečnostní incident

Proaktivní aktivity Reaktivní aktivity

V minulosti byla kybernetická bezpečnost roztříštěná. Byla řešena pouze individuálně, bez

potřebné koordinace a konzistence ze strany státu.

Předchozí národní koordinátoři kybernetické bezpečnosti

Ministerstvo informatiky (částečně, do roku 2007)

Ministerstvo vnitra (od roku 2007 do 2011)

19. října 2011 – Národní bezpečnostní úřad ustanoven vládou jako národní autorita v oblasti

kybernetické bezpečnosti

vybudování Národního centra kybernetické bezpečnosti, přípravě a přijetí zák. o kybernetické

bezpečnosti, vytvoření Rady pro kybernetickou bezpečnost, specializovaná instituce, legislativní

ukotvení, strategický poradní orgán

HISTORIE

Web:

Sli.do

Event code:

CyberJeCool


Web:

Sli.do

Event code:

CyberJeCool


VLÁ

DA

ČE

SKÉ

REP

UB

LIK

Y

Bezpečnostní rada státu

Národní úřad pro kybernetickou a

informační bezpečnost

Bezpečnostní informační služba

Ministerstvo obrany

Výbor pro kybernetickou bezpečnost

Národní centrum kybernetické bezpečnosti

Vládní CERT(GovCERT.CZ)a další odbory

Generální štáb Armády České republiky

Vojenské zpravodajství

Národní CERT(CSIRT.CZ)

Vojenský CERT(CIRC Centre)

Velitelství kybernetických sil a informačních operací

Národní centrum kybernetických operací

veřejnoprávní smlouva

Ministerstvo vnitra

Policie České republiky

Úřad pro zahraniční styky a informace

Národní centrála proti organizovanému zločinu

Výbor pro kybernetickou bezpečnostZdroj: https://www.vlada.cz/cz/ppov/brs/pracovni-vybory/kyberneticka_bezpecnost/vybor-pro-kybernetickou-bezpecnost-159932/

Národní centrum kybernetické bezpečnosti a Vládní CERTZdroj: https://www.govcert.cz/

Národní CERTZdroj: https://csirt.cz/cs/

Národní centrála proti organizovanému zločinu Zdroj: https://www.policie.cz/clanek/narodni-centrala-proti-organizovanemu-zlocinu-skpv.aspx

Úřad pro zahraniční styky a informaceZdroj: https://www.uzsi.cz/cs/co-delame/

Vojenský CERT (CIRC Centre)Zdroj: http://www.circ.army.cz/

Velitelství kybernetických sil a informačních operacíZdroj: http://www.acr.army.cz/struktura/generalni/kyb/velitelstvi-kybernetickych-sil-a-informacnich-operaci-214169/

Národní centrum kybernetických operacíZdroj: https://www.vzcr.cz/kyberneticka-obrana-46

Bezpečnostní informační službaZdroj: https://www.bis.cz/kyberneticka-bezpecnost/

+ Rada pro kybernetickou bezpečnostZdroj: https://www.govcert.cz/cs/rkb/

ZÁKLADNÍ ZDROJE INFORMACÍ O ORGANIZACÍCH

Web:

Sli.do

Event code:

CyberJeCool


https://www.vlada.cz/cz/ppov/brs/pracovni-vybory/kyberneticka_bezpecnost/vybor-pro-kybernetickou-bezpecnost-159932/https://www.govcert.cz/https://csirt.cz/cs/https://www.policie.cz/clanek/narodni-centrala-proti-organizovanemu-zlocinu-skpv.aspxhttps://www.uzsi.cz/cs/co-delame/http://www.circ.army.cz/http://www.acr.army.cz/struktura/generalni/kyb/velitelstvi-kybernetickych-sil-a-informacnich-operaci-214169/https://www.vzcr.cz/kyberneticka-obrana-46https://www.bis.cz/kyberneticka-bezpecnost/https://www.govcert.cz/cs/rkb/



Ochrana infrastruktury v České republice obecně

Hlavním právním předpisem v rámci EU je tzv. směrnice NIS.

Ústředním právním předpisem je zákon o kybernetické bezpečnosti.

Zákon především definuje povinné orgány a osoby a jejich povinnosti.

Povinných orgánů a osob je několik různých druhů.

K jejich určení je potřeba prováděcích právních předpisů, které uvádějí kritéria, jak je určit.

nařízení vlády o kritériích pro určení prvků kritické infrastruktury

vyhláška o významných informačních systémech

vyhláška o provozovatelích základních služeb

Když jsou známy povinné osoby a orgány, musí tyto plnit určené povinnosti.

Povinnosti plynou přímo ze zákona, prováděcí právní předpisy je konkretizují.

vyhláška o kybernetické bezpečnosti

prováděcí nařízení Komise o bližším upřesnění prvků, které musí poskytovatelé digitálních služeb

zohledňovat při řízení bezpečnostních rizik

JEDNODUŠE PRO ZAČÁTEK…

Web:

Sli.do

Event code:

CyberJeCool


Zákon č. 181/2014 Sb., o kybernetické bezpečnosti

Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby

Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti

Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních

k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (tzv. „směrnice

NIS“)

Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro

uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění

prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž

jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad

incidentu významný

PRÁVNÍ RÁMEC

Web:

Sli.do

Event code:

CyberJeCool


Upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti

kybernetické bezpečnosti.

Obsahuje základní nezbytné definice.

Transponuje směrnici NIS.

Cílem je stanovit základní úroveň bezpečnostních opatření, zlepšit detekci a zavést hlášení

kybernetických bezpečnostních incidentů, zavést systém opatření k reakci na kybernetické

bezpečnostní incidenty a upravit činnost dohledových pracovišť.

Zavádí stav kybernetického nebezpečí.

Zřizuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI

Web:

Sli.do

Event code:

CyberJeCool


Zákon o kybernetické bezpečnosti upravuje 13 povinných osob a orgánů rozdělených do

8 skupin, tvořících jednotlivá písmena 3. Především:

správce nebo provozovatele informačního nebo komunikačního systému kritické informační

infrastruktury (KII)

správce a provozovatel významného informačního systému (VIS)

správce a provozovatel informačního systému základní služby (ISZS)

poskytovatel digitální služby (PDS, lépe DSP)

Zákon o kybernetické bezpečnosti upravuje čtyři základní povinnosti pro většinu orgánů

a osob, na které dopadá. Těmi jsou následující:

povinnost hlášení kontaktních údajů ( 16)

povinnost hlášení kybernetických bezpečnostních incidentů ( 8)

povinnost zavádět bezpečnostních opatření ( 4)

povinnost provádět reaktivní a ochranná opatření ( 11 a násl.)

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI

Web:

Sli.do

Event code:

CyberJeCool


Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury

obsahuje průřezová a odvětvová kritéria pro určení prvků kritické informační infrastruktury

(stejně tak jako pro určení prvků kritické infrastruktury)

Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích

obsahuje dopadová a oblastní určující kritéria pro identifikaci významných informačních

systémů

obsahuje seznam významných informačních systémů (ale ne všech)

Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby

obsahuje odvětvová a dopadová kritéria pro určení provozovatelů základních služeb

a informačních systémů základních služeb

PROVÁDĚCÍ PRÁVNÍ PŘEDPISY („URČOVACÍ“)

Web:

Sli.do

Event code:

CyberJeCool


Vyhláška č. 82/2018 Sb., vyhláška o kybernetické bezpečnosti

konkretizuje bezpečnostní opatření, které musí orgány a osoby ze zákona přijímat (s výjimkou

poskytovatele digitální služby)

Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla

pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší

upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení

bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro

posuzování toho, zda je dopad incidentu významný

konkretizuje bezpečnostní opatření, které musí poskytovatel digitální služby přijímat

PROVÁDĚCÍ PRÁVNÍ PŘEDPISY („POVINNOSTNÍ“)

Web:

Sli.do

Event code:

CyberJeCool


Kybernetický prostor je digitální prostředí umožňující vznik, zpracování a výměnu informací,

tvořené informačními systémy, a službami a sítěmi elektronických komunikací

Bezpečnost informací je zajištění důvěrnosti, integrity a dostupnosti informací a dat.

Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti

informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických

komunikací v kybernetickém prostoru.

Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti

informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti

a integrity sítí elektronických komunikací.

Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních

systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických

komunikací v důsledku kybernetické bezpečnostní události.

Opatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí

el. kom. před hrozbou v oblasti kybernetické bezpečnosti nebo před kyb. bezpečnostním

incidentem anebo k řešení již nastalého kyb. bezpečnostního incidentu.

DŮLEŽITÉ DEFINICE

Web:

Sli.do

Event code:

CyberJeCool


Správcem informačního systému je ten, kdo určuje účel zpracování informací a podmínky jeho

provozování.

Správcem komunikačního systému je ten, kdo určuje účel komunikačního systému a podmínky

jeho provozování.

tj. ten, kdo systém „vlastní“, vždy jen jeden subjekt

Provozovatelem informačního nebo komunikačního systému

je ten, kdo zajišťuje funkčnost technických (hardware)

a programových (software) prostředků jej tvořících.

tj. „důležití“ nebo „hlavní“ dodavatelé, obvykle více subjektů

X

Nezaměňovat s provozovatelem základní služby!

SPRÁVCE A PROVOZOVATEL

Web:

Sli.do

Event code:

CyberJeCool


Web:

Sli.do

Event code:

CyberJeCool


Zákon č. 240/2000 Sb.,

o krizovém řízení a o

změně některých

zákonů (krizový zákon)

Nařízení vlády

č. 432/2010 Sb.,

o kritériích pro

určení prvku KI

ve znění novely

č. 315/2014 Sb.

ZKB

Významný

informační

systém

(VIS)

definuje

určuje

kritéria

definuje

definuje

Vyhláška

č. 317/2014 Sb.,

o významných

informačních

systémech

a jejich

určujících

kritériích

Vyhláška

č. 82/2018 Sb.,

o kybernetické

bezpečnosti

(VKB)

provádí provádí

NÚKIB

Regulovaná

osoba

ISMS

vydává,

novelizuje

kontroluje soulad

ISMS orgánu nebo osoby

se zákonem

provádí

alespoň

v rozsahu

stanoveném

v ZKBurčuje

kritéria

Vyhláška č. 437/2017 Sb., o kritériích pro

určení provozovatelů

základních služeb

provádí

spolupracuje

má povinnost

řídit se

Informační

systém základní

služby

(ISZS)

Základní

služba

(ZS)

definuje

určuje

kritéria

definuje

určuje

kritéria

Digitální

služba

(DS)

definuje

poskytování je

závislé na

Kritická

infrastruktura

(KI)

Kritická

informační

infrastruktura

(KII)

podporuje,

je součástí

využívá

aktiva

Prováděcí

nařízení Komise

(EU)

2018/151

ze dne

30. ledna 2018

určuje

některá

kritéria



Ochrana infrastruktury v České republice – Kritická informační infrastruktura

Web:

Sli.do

Event code:

CyberJeCool


Zákon č. 240/2000 Sb.,


změně některých


Nařízení vlády

č. 432/2010 Sb.,

o kritériích pro

určení prvku KI

ve znění novely

č. 315/2014 Sb.

ZKB

Významný

informační

systém

(VIS)

definuje

určuje

kritéria

definuje

definuje

Vyhláška

č. 317/2014 Sb.,

o významných

informačních

systémech

a jejich

určujících

kritériích

Vyhláška

č. 82/2018 Sb.,

o kybernetické

bezpečnosti

(VKB)

provádí provádí

NÚKIB

Regulovaná

osoba

ISMS

vydává,

novelizuje

kontroluje soulad


se zákonem

provádí

alespoň

v rozsahu

stanoveném

v ZKBurčuje

kritéria




provádí

spolupracuje

má povinnost

řídit se

Informační

systém základní

služby

(ISZS)

Základní

služba

(ZS)

definuje

určuje

kritéria

definuje

určuje

kritéria

Digitální

služba

(DS)

definuje

poskytování je

závislé na

Kritická

infrastruktura

(KI)

Kritická

informační

infrastruktura

(KII)

podporuje,

je součástí

využívá

aktiva

Prováděcí

nařízení Komise

(EU)

2018/151

ze dne

30. ledna 2018

určuje

některá

kritéria

Správce a provozovatel informačního systému kritické informační infrastruktury ( 3 písm. c).

Správce a provozovatel komunikačního systému kritické informační infrastruktury ( 3 písm. d).

Kritickou informační infrastrukturou je prvek nebo systém prvků kritické infrastruktury v odvětví

komunikační a informační systémy v oblasti kybernetické bezpečnosti v rámci nařízení vlády

č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.

Příklady: Ústřední orgány státní správy, energie, telekomunikace, finance,…

Postup určení:

Organizační složky státu: Vláda určí usnesením (NÚKIB zasílá Ministerstvu vnitra návrh těchto

prvků po přezkoumání naplnění kritérií z nařízení vlády)

nebo

Ostatní: NÚKIB určí vydáním opatření obecné povahy po přezkoumání naplnění kritérií

z nařízení vlády.

KRITICKÁ INFORMAČNÍ INFRASTRUKTURA (KII)

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Významné informační systémy

Web:

Sli.do

Event code:

CyberJeCool


Zákon č. 240/2000 Sb.,


změně některých


Nařízení vlády

č. 432/2010 Sb.,

o kritériích pro

určení prvku KI

ve znění novely

č. 315/2014 Sb.

ZKB

Významný

informační

systém

(VIS)

definuje

určuje

kritéria

definuje

definuje

Vyhláška

č. 317/2014 Sb.,

o významných

informačních

systémech

a jejich

určujících

kritériích

Vyhláška

č. 82/2018 Sb.,

o kybernetické

bezpečnosti

(VKB)

provádí provádí

NÚKIB

Regulovaná

osoba

ISMS

vydává,

novelizuje

kontroluje soulad


se zákonem

provádí

alespoň

v rozsahu

stanoveném

v ZKBurčuje

kritéria




provádí

spolupracuje

má povinnost

řídit se

Informační

systém základní

služby

(ISZS)

Základní

služba

(ZS)

definuje

určuje

kritéria

definuje

určuje

kritéria

Digitální

služba

(DS)

definuje

poskytování je

závislé na

Kritická

infrastruktura

(KI)

Kritická

informační

infrastruktura

(KII)

podporuje,

je součástí

využívá

aktiva

Prováděcí

nařízení Komise

(EU)

2018/151

ze dne

30. ledna 2018

určuje

některá

kritéria

Správce a provozovatel významného informačního systému ( 3 písm. e).

Významným informačním systémem se rozumí informační systém spravovaný orgánem veřejné

moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby

a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti

orgánu veřejné moci.

Příklady: Orgány státní správy (rejstříky, chod úřadu,…)

Postup identifikace:

Orgán veřejné moci posoudí naplnění kritérií dle vyhlášky č. 317/2014 Sb. a nahlásí se jako

povinná osoba NÚKIB.

nebo

Informační systém je zahrnut do přílohy vyhlášky č. 317/2014 Sb.

VÝZNAMNÝ INFORMAČNÍ SYSTÉM (VIS)

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Základní služba

Web:

Sli.do

Event code:

CyberJeCool


Zákon č. 240/2000 Sb.,


změně některých


Nařízení vlády

č. 432/2010 Sb.,

o kritériích pro

určení prvku KI

ve znění novely

č. 315/2014 Sb.

ZKB

Významný

informační

systém

(VIS)

definuje

určuje

kritéria

definuje

definuje

Vyhláška

č. 317/2014 Sb.,

o významných

informačních

systémech

a jejich

určujících

kritériích

Vyhláška

č. 82/2018 Sb.,

o kybernetické

bezpečnosti

(VKB)

provádí provádí

NÚKIB

Regulovaná

osoba

ISMS

vydává,

novelizuje

kontroluje soulad


se zákonem

provádí

alespoň

v rozsahu

stanoveném

v ZKBurčuje

kritéria




provádí

spolupracuje

má povinnost

řídit se

Informační

systém základní

služby

(ISZS)

Základní

služba

(ZS)

definuje

určuje

kritéria

definuje

určuje

kritéria

Digitální

služba

(DS)

definuje

poskytování je

závislé na

Kritická

infrastruktura

(KI)

Kritická

informační

infrastruktura

(KII)

podporuje,

je součástí

využívá

aktiva

Prováděcí

nařízení Komise

(EU)

2018/151

ze dne

30. ledna 2018

určuje

některá

kritéria

Správce a provozovatel informačního systému základní služby ( 3 písm. f).

Provozovatel základní služby ( 3 písm. g).

Základní službou je služba, jejíž poskytování je závislé na informačních systémech nebo sítích

elektronických komunikací („komunikačních systémech“) a jejíž narušení by mohlo mít významný

dopad na zabezpečení společenských nebo ekonomických činností v některém z odvětví

energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního

hospodářství, digitální infrastruktury nebo chemického průmyslu.

Příklady: Zdravotnictví, bankovnictví, digitální infrastruktura,…

Postup určení:

NÚKIB určí provozovatele základní služby a informační systém základní služby vydáním

rozhodnutí po přezkoumání naplnění kritérií z Vyhlášky č. 437/2017 Sb., o kritériích pro určení

provozovatele základní služby.

ZÁKLADNÍ SLUŽBA

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Digitální služba

Web:

Sli.do

Event code:

CyberJeCool


Zákon č. 240/2000 Sb.,


změně některých


Nařízení vlády

č. 432/2010 Sb.,

o kritériích pro

určení prvku KI

ve znění novely

č. 315/2014 Sb.

ZKB

Významný

informační

systém

(VIS)

definuje

určuje

kritéria

definuje

definuje

Vyhláška

č. 317/2014 Sb.,

o významných

informačních

systémech

a jejich

určujících

kritériích

Vyhláška

č. 82/2018 Sb.,

o kybernetické

bezpečnosti

(VKB)

provádí provádí

NÚKIB

Regulovaná

osoba

ISMS

vydává,

novelizuje

kontroluje soulad


se zákonem

provádí

alespoň

v rozsahu

stanoveném

v ZKBurčuje

kritéria




provádí

spolupracuje

má povinnost

řídit se

Informační

systém základní

služby

(ISZS)

Základní

služba

(ZS)

definuje

určuje

kritéria

definuje

určuje

kritéria

Digitální

služba

(DS)

definuje

poskytování je

závislé na

Kritická

infrastruktura

(KI)

Kritická

informační

infrastruktura

(KII)

podporuje,

je součástí

využívá

aktiva

Prováděcí

nařízení Komise

(EU)

2018/151

ze dne

30. ledna 2018

určuje

některá

kritéria

Poskytovatel digitální služby ( 3 písm. h).

digitální službou je služba informační společnosti podle zákona upravujícího některé služby

informační společnosti, která spočívá v provozování

1. on-line tržiště,

2. internetového vyhledávače,

3. cloud computingu.

Příklady: Internetové vyhledávače, cloudové služby, e-tržiště

Na veliké důležitosti zde nabývají definiční znaky služby informační společnosti.

Postup identifikace:

Orgán nebo osoba posoudí naplnění kritérií a nahlásí se jako povinná osoba Národnímu CERT.

DIGITÁLNÍ SLUŽBA

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Základní povinnosti

Zavedení a provádění bezpečnostních opatření ( 4 a 5).

Nejdůležitější povinnost ze zákona – detailně uvedeny ve vyhlášce o kybernetické bezpečnosti.

Hlášení kontaktních údajů ( 16).

Národnímu CERT nebo NÚKIB – v závislosti na typu povinné osoby.

Hlášení incidentů ( 8).

Národnímu CERT nebo NÚKIB – v závislosti na typu povinné osoby.

Provádění opatření – varování, reaktivního a ochranného opatření ( 11 a násl.).

NÚKIB vydává formou jiné správního aktu (varování), opatření obecné povahy (reaktivní nebo

ochranné opatření) nebo rozhodnutí (reaktivní opatření).

ZÁKLADNÍ POVINNOSTI

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Základní povinnosti Hlášení kontaktních údajů

HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ

Web:

Sli.do

Event code:

CyberJeCool


FORMULÁŘ A NÁVOD HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Základní povinnosti Hlášení kybernetických bezpečnostních incidentů

HLÁŠENÍ KYBERNETICKÝ BEZPEČNOSTNÍCH INCIDENTŮ

Web:

Sli.do

Event code:

CyberJeCool


FORMULÁŘ HLÁŠENÍ KYBERNETICKÝ BEZPEČNOSTNÍCH INCIDENTŮ

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Základní povinnosti Provádění opatření

Varování ( 12)

Úřad vydá varování, dozví-li se o hrozbě v oblasti kybernetické bezpečnosti.

Reaktivní opatření ( 13)

Úřad vydá rozhodnutí, ve kterém uloží provést reaktivní opatření k řešení kybernetického

bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb

elektronických komunikací před kybernetickým bezpečnostním incidentem.

Ochranné opatření ( 14)

Úřad za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických

komunikací a na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu jako

ochranné opatření vydá opatření obecné povahy, ve kterém stanoví způsob zvýšení ochrany

informačních systémů nebo služeb a sítí elektronických komunikací a přiměřenou lhůtu k jeho

provedení.

5 odst. 1 písm. h) bod 3. vyhlášky o kybernetické bezpečnosti: Povinná osoba v rámci řízení

rizik opatření podle 11 zákona

ZÁKLADNÍ POVINNOSTI

Web:

Sli.do

Event code:

CyberJeCool




Ochrana infrastruktury v České republice – Základní povinnosti Zavedení a provádění bezpečnostních opatření

BEZPEČNOSTNÍ OPATŘENÍ

Web:

Sli.do

Event code:

CyberJeCool


Zákon o kybernetické bezpečnosti uvádí v 5 výčet bezpečnostních opatření

= 25 sad opatření, dále konkretizovaných vyhláškou o kybernetické bezpečnosti.

ORGANIZAČNÍ TECHNICKÁ

ŘÍZENÍ RIZIK

Web:

Sli.do

Event code:

CyberJeCool


AKTIVUM DŮLEŽITOST

AKTIVA

ÚVAHA

(hodnocení aktiv)

HROZBA

PRO AKTIVUM

ZRANITELNOST

AKTIVA

HODNOTA

RIZIKA

VZRŮSTÁ

HODNOTA

RIZIKA

KLESÁ

ÚVAHA

(hodnocení rizik)OPATŘENÍ

ŘÍZENÍ RIZIK

Web:

Sli.do

Event code:

CyberJeCool


Upraveno dle : Smejkal, V., Rais, K., Řízení rizik ve firmách a jiných organizacích, GRADA

ORGANIZAČNÍ OPATŘENÍ

Web:

Sli.do

Event code:

CyberJeCool


Systém řízení bezpečnosti informací

Řízení aktiv

Řízení rizik

Organizační bezpečnost

Bezpečnostní role

Řízení dodavatelů

Bezpečnost lidských zdrojů

Řízení provozu a komunikací

Řízení změn

Řízení přístupu

Akvizice, vývoj a údržba

Zvládání kybernetických bezpečnostních

událostí a incidentů

Řízení kontinuity činností

Audit kybernetické bezpečnosti

Bezpečnostní politika a bezpečnostní

dokumentace

TECHNICKÁ OPATŘENÍ

Web:

Sli.do

Event code:

CyberJeCool


Fyzická bezpečnost

Bezpečnost komunikačních sítí

Správa a ověřování identit

Řízení přístupových oprávnění

Ochrana před škodlivým kódem

Zaznamenávání událostí informačního

a komunikačního systému, jeho uživatelů

a administrátorů

Detekce kybernetických bezpečnostních

událostí

Sběr a vyhodnocování kybernetických

bezpečnostních událostí

Aplikační bezpečnost

Kryptografické prostředky

Zajišťování úrovně dostupnosti informací

Průmyslové, řídící a obdobné specifické

systémy

Nedostatečná podpora kybernetické bezpečnosti vedením organizace,

kybernetická bezpečnost není vnímána jako běžná součást bezpečnostní kultury organizace,

porušování bezpečnostních opatření (pravidel) top managementem.

(Ne)systematicky přistupovat k procesu řízení aktiv a rizik

neexistující metodika, není postupováno v souladu s metodikou

Plán zvládání rizik nerespektuje výsledky analýzy rizik nebo vůbec neexistuje

Předložená dokumentace není platná / řízená / úplná

Nevhodné organizační zařazení kybernetické bezpečnosti

bezpečnost není oddělena od provozu

Přístup všechno outsourcovat

obrovská závislost na dodavatelích (neřízená)

Nákup technologie pouze z důvodu požadavku vyhlášky

(Ne)řízení kontinuity činností

NEJČASTĚJŠÍ ZJIŠTĚNÍ (2018)

Web:

Sli.do

Event code:

CyberJeCool




Národní úřad pro kybernetickou a informační bezpečnost

TROCHA HISTORIE

Web:

Sli.do

Event code:

CyberJeCool


1. srpna 2017

Gestor kybernetické bezpečnosti v České republice

Ochrana utajovaných informací pro oblast informačních a komunikačních systémů

Kryptografická ochrana

Problematika veřejně regulované služby navigačního systému Galileo (PRS)

Sídlo úřadu v Brně

2 detašovaná pracoviště v Praze

Celkem 203 pracovníků

Rozpočet 370 000 000 Kč

NÚKIB

Web:

Sli.do

Event code:

CyberJeCool


NAŠE ČINNOSTI

Web:

Sli.do

Event code:

CyberJeCool


Vytváříme národní strategie kybernetické

bezpečnosti.

Na mezinárodním poli hájíme pozice České

republiky v oblasti kybernetické bezpečnosti.

Připravujeme národní bezpečnostní standardy

v oblasti kybernetické bezpečnosti.

Stanovujeme ochranu utajovaných informací

v oblasti informačních a komunikačních systémů.

URČUJEME PRVKY KRITICKÉ INFORMAČNÍ INFRASTRUKTURY, PROVOZOVATELE ZÁKLADNÍ SLUŽBY A POMÁHÁME

S IDENTIFIKACÍ VÝZNAMNÝCH INFORMAČNÍCH SYSTÉMŮ

Web:

Sli.do

Event code:

CyberJeCool


PROVOZUJEME VLÁDNÍ CERT ČESKÉ REPUBLIKY (GOVCERT.CZ) A SPOLUPRACUJEME S OSTATNÍMI CERT

A CSIRT BEZPEČNOSTNÍMI TÝMY DOMA I PO CELÉM SVĚTĚ

Web:

Sli.do

Event code:

CyberJeCool


VYKONÁVÁME FUNKCI TZV. PŘÍSLUŠNÉHO ORGÁNU PRS (COMPETENT PRS AUTHORITY) V RÁMCI IMPLEMENTACE

SLUŽBY PRS NAVIGAČNÍHO SYSTÉMU GALILEO

Web:

Sli.do

Event code:

CyberJeCool


PŘIPRAVUJEME A KOORDINUJEME KYBERNETICKÁ CVIČENÍ JAK V ČESKÉ REPUBLICE, TAK V ZAHRANIČÍ

Web:

Sli.do

Event code:

CyberJeCool


DĚLÁME OSVĚTU V OBLASTI KYBERNETICKÉ BEZPEČNOSTI

Web:

Sli.do

Event code:

CyberJeCool


PODPORUJEME VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI

Web:

Sli.do

Event code:

CyberJeCool


Martin Švédareferent bezpečnosti státu, odbor regulace

E-mail: [email protected]: +420 601 117 527PGP: 2439 17F3 EBDD 32DE 3DD8 ED57 1BF2 719F A2FD E429


Documents

KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICElidak/IPI/2020-04-29... · 2020. 5. 4. · POLČÁK,Radim. a kol. Právoinformačníchtechnologií. 1. vyd. Praha: Wolters Kluwer, 2018